Константин Попандопуло, технический директор Umbrella IT, объяснил, почему, несмотря на огромный потенциал, практики DevSecOps все еще не получили широкого распространения в России.
Крупным компаниям абсолютно ничего не мешает внедрять DevSecOps, и они это делают, вкладывая в это ресурсы, потому что стремятся минимизировать риски на самых ранних этапах разработки. Однако малый и средний бизнес часто ставит приоритеты на другие задачи, отодвигая вопросы безопасности на второй план.
Интеграция DevSecOps в любую проектную модель разработки от создания кода до деплоя позволяет ускорить процесс и сделать его безопаснее, благодаря встроенности в CI/CD. Но на практике задачи, решаемые DevSecOps-специалистами, нередко берут на себя DevOps-инженеры.
В компаниях, не связанных с IT напрямую, скажем, в промышленности или ритейле, даже внедрение DevOps не всегда является стандартом, не говоря уже о DevSecOps. Для них текущий уровень безопасности вполне удовлетворителен, и они не видят смысла вкладывать дополнительные ресурсы в новую методологию.
Стоит отметить, что внедрение DevSecOps сопряжено с определенными рисками. Возможные проблемы могут замедлить процесс разработки вместо его ускорения. Команда может быть не готова к многочисленным проверкам безопасности на разных этапах, а устранение выявленных ошибок и уязвимостей потребует дополнительного времени.
Компании начнут активное внедрение DevSecOps только после серьезного толчка — когда возникнут реальные угрозы безопасности. А внедрять DevSecOps только для ускорения разработки и улучшения качества продукта, когда все и так работает, — многие просто не видят в этом смысла.